Les courbes elliptiques pour la cryptographie

1.4 Les courbes elliptiques

1.4.2 Les courbes elliptiques pour la cryptographie

Les courbes elliptiques sont les courbes les plus simples après les droites et les coniques. On peut considérer une courbe elliptique sur un corps fini F, elle intervient ainsi dans certains protocoles cryptographiques. On peut définir une courbe elliptique E sur un corps fini F noté E( F) par son équation à la forme de Weierstrass [4] :

E: y2+a1xy+a3y=x3+a2x2+a4x+a6. (1.1) o`u a1, a2, a3,a4et a6F.

Les corps sont des systèmes de nombres bien connus tels que les nombres rationnels Q ou les nombres réels R et les nombres complexes C. Un corps est un ensemble F possédant deux opérations élémentaires, l’addition (notée +) et la multiplication (notée .), satisfaisant les pro- priétés arithmétiques suivantes :

– (F, +) est un groupe abélien (avec l’addition) et l’élément neutre est 0. – (F∗_{, .) est un groupe abélien (avec la multiplication) et l’élément neutre est 1.} – La distributivité est respectée : (a+b).c =a.c + b.c pour tout a,b,c ∈ F.

Un corps est fini quand il contient un nombre fini d’éléments, autrement dit l’ensemble F est fini. Il existe trois grands types de corps finis qui sont utilisables pour l’implémentation de la cryptogra- phie pour les courbes elliptiques : les corps premiers, les corps binaires et les corps d’extension. L’ordre d’un corps fini est le nombre d’éléments présents dans le corps. Compter le nombre de points d’une courbe elliptique définie sur un corps fini fait partie des problématiques essentielles dans la recherche des courbes cryptographiquement sûres. La communauté des mathématiciens s’en est notamment intéressé, c’est Hasse en 1922 qui démontra le résultat sur ce nombre également appelé ordre du groupe des points d’une courbe elliptique sur un corps fini :

| #E(Fp) − p − 1 ≤ 2√p | (1.2)

Les corps premiers notés par Fpoù p= qmet q un nombre premier (appelé la caractéristique de Fp)

sont généralement utilisés en cryptographie. Si m=1 alors Fp est appelé un corps premier. Si m

≥ 2 alors Fpest appel´e un corps d’extension. Les corps binaires sont des corps finis d’ordre 2m `a

coefficient dans {0,1}. Dans cette thèse, nous avons travaillé avec les corps premiers Fp, où p >3.

Pour ces corps premiers, si la caractéristique est supérieure à 3, l’équation de Weierstrass pour une courbe elliptique sur un corps fini premier noté E(Fp)peut être représentée par :

E: y2=x3+ax+b . (1.3)

o`u a et b ∈ Fp.

Pour être utilisée en cryptographie, la condition nécessaire est que le discriminant du polynôme soit égal à 0. Cette condition garantie que, pour tout point de la courbe elliptique, passe une et une seule tangente.

f(x) = x3_{+ ax + b, △ = 4a}3+27b2 ,_0. _(1.4) L’ensemble des points (x, y), dont les coordonnées x, y vérifient l’équation 1.1 et le point à l’infini noté ∞ sont sur la courbe et forment un groupe abélien additif (E( Fp),+):

(E( F_{p),+) = {x, y} ∈ Fp}.F_p : y2- x3- ax - b =_{0 ∪ {∞}} (1.5)

Ce groupe est principalement constitué de deux opérations de base : le doublement de point (2P) et l’addition de points (P+Q) où P et Q sont deux points differents de la courbe.

Etant donn´es P=(xp,yp) et Q=(xq,yq) deux points (, ∞ ) d’une courbe elliptique sur un corps

fini Fpnoté E(Fp). Géométriquement, l’addition de point (P + Q) avec P, Q consiste à prendre

le symétrique du troisième point (P*Q) d’intersection de la droite PQ avec la courbe elliptique. Le doublement d’un point est le cas particulier d’addition où P = Q, on prend alors le symétrique du point d’intersection de la tangente en P avec la courbe elliptique. Si P et Q sont symétriques par rapport à l’axe des x, dans ce cas la droite PQ coupe la courbe au point à l’infini (qui est le zéro du groupe) et donc Q = -P.

Figure 1.4 – Addition de points

L’addition de points P+Q=(xpq,ypq) ou le doublement de point 2P=P+Q=(xpq,ypq) si P=Q

peuvent être calculés à travers les équations 1.6 et 1.7        xpq= λ2_{− x}p− xq ypq = λ(xp− xpq) − yp (1.6)                λ = yq− yp xq− xp ,si P , Q λ = 3x 2 p+ a 2yp ,si P = Q (1.7)

1.4.2.1/ Le syt`eme du Logarithme Discret Elliptique

Si P est un point de la courbe elliptique E(Fp) d’ordre n, et Q un autre point de la courbe, la difficulté de trouver l’entier d ∈ [0, n-1] tel que Q=dP est appelé : le problème du logarithme discret elliptique. L’entier d est appelé logarithme discret de Q en base P noté d=logpQ. Soit une courbe elliptique sur un corps fini E(Fp)(a,b)_{obtenue avec l’équation 1.8 pour 0<x<p et a,b≥0 et}

<p.

y2 = x3+ ax + b mod p (1.8)

Soit P un point d’ordre n (un nombre premier), le groupe cyclique généré par P et noté <P> = { ∞, P, 2P, 3P, ... ,(n-1)P }. Ainsi le nombre premier p, l’équation de la courbe elliptique E, le point

Pet son ordre n sont les paramètres publiques des cryptosystèmes. La clé privée est un entier d sélectionné uniformément au hasard dans l’intervalle [1, n-1] et la clé publique correpondante est le point Q=dP

1. Génération de clés avec le Logarithme Discret Elliptique : une paire de clés est associée à un ensemble de paramètres publiques (p, E, P, n) où p est un nombre premier, E une courbe elliptique, P le point générateur et n son ordre, c’est à dire que nP=∞. Une clé privée d est sélectionnée au hasard dans l’intervalle [1, n-1] et la clé publique correspondante est Q=dP. Le problème du logarithme discret consiste à déterminer d à partir des paramètres publiques (p, E, P, n).

Algorithm 11 Génération de clés avec le Logarithme Discret Elliptique

Entrées : p, E, P, n // les paramètres publiques générés

Sorties : Clé publique (Q) et clé privée d générées begin

1. S´electionner au hasard d dans l’intervalle [1, n-1] 2. Calculer Q=dP

3. Retourner(Q, d)

2. Chiffrement avec le Logarithme Discret Elliptique (ElGamal) : le message m se présente sous forme d’un point M, il est chiffré en l’additionnant au point de la courbe kQ où k est un entier choisi aléatoirement par l’émetteur, et Q est un point représentant la clé publique du récepteur. Ainsi, l’émetteur envoie C2=M+kQpet C1=kPau récepteur qui, à partir de sa clé privée d calcule dC1=d(k)P=k(dP)=kQet retrouve m=C2-kQ.

Algorithm 12 Chiffrement ElGamal avec les courbes elliptiques

Entrées : (p, E, P, n), Q et m // les paramètres publiques, la clé publique et le message clair _m

Sorties : (C1,C2) // le texte chiffr´e

begin

1. Repr´esenter le message m en tant que point M ∈ E(Fp)

2.S´electionner k ∈[1, n-1] 3. Calculer C1=kP 4. Calculer C2=M+kQ 5. Retourner(C1, C2)

3. D´echiffrement avec le Logarithme Discret (ElGamal) : Algorithm 13 D´echiffrement ElGamal avec les courbes elliptiques

Entrées : (p, E, P, n), d et C1, C2 // les paramètres publiques, la clé privée et le message chiffré

Sorties : m // message en clair

begin

1. Calculer M=C2- dC1,et extraire m de M 2. Retourner(m)

4. Signature avec le Logarithme Discret Elliptique : le signataire sélectionne un entier k ∈ [1, n-1] et calcule le point kP de coordonnées (x1, y1), soit r=x1. Il calcule k−1modn puis s =k−1_{( h + dr)}_{où d est la clé privée et h est un condensé sur le message m avec une fonction} de hachage cryptographique H() : h=H(m). L’émetteur envoie la signature (r, s) et le message

mpour v´erification.

Algorithm 14 Signature avec les courbes elliptiques

Entrées : (p, E, P, n), d et m // les paramètres publiques, la clé privée et le message m

Sorties : (r, s) // la signature

begin

1. S´electionner k ∈ [1, n-1].

2. Calculer kP de coordonnées (x1, y1), soit r=x1. si r modn=0 retour à l’étape1 3. Calculer k−1_{mod n}

4. Calculer h=H(m)

5. Calculer s =k−1( h + dr). Si s=0, alors retour `a l’´etape 1 6. Retourner(r, s)

5. Vérification de la signature DSA : à la réception de la signature (r, s), l’autre partie calcule

w=s−1_{mod n}_{, u}₁₌_{hw mod n}_{, u}₂₌_{rw mod n}_{puis u}₁_P+u₂_Q_{et obtient comme résultat un point} de coordonnées (x2, y2). La signature est vérifiée si r=x2.

Algorithm 15 V´erification de signature avec les courbes elliptiques

Entrées : (p, E, P, n), Q, m et (r, s) // les paramètres publiques, la clé publique, le message m et la signature (r,s)

Sorties : Acceptation ou rejet de la signature begin

1. Calculer w=s−1mod net h=H(m) 2. Calculer u1=hw mod net u2=rw mod n

3. Calculer u1P+u2Qet obtenir le point de coordonn´ees (x2, y2) 4. Accepter si r=x2, et rejet sinon

Le problème du logarithme discret sur une courbe elliptique bien choisie est plus rapide que celui du logarithme discret dans les corps finis. L’algorithme connu comme étant le plus efficace pour résoudre un tel problème est à temps exponentiel, contrairement au système RSA pour lequel il existe des algorithmes à temps sous-exponentiel. Un algorithme est sous-exponentiel si le logarithme du temps d’exécution croˆıt asymptotiquement moins vite que tout polynôme donné. Le niveau de sécurité d’une clé est en directe correspondance avec sa taille. Ainsi, pour une même résistance, les courbes elliptiques requièrent des clés plus courtes que RSA. Or l’usage de clés de petites tailles confère beaucoup d’avantages : les calculs sont plus rapides, la consommation électrique globale est diminuée, et l’espace mémoire est réduit. Contrairement à RSA, les courbes elliptiques sont plus rapides pour les opérations privées que pour les opérations publiques. RSA de- mande moins de temps en chiffrement et vérification de signature numérique qu’en déchiffrement et la génération de signature qui sont lents et demandent plus de ressources. Au contraire, les courbes elliptiques en cryptographie nécessitent plus de calcul lors du chiffrement et vérification de la signature que le déchiffrement et la génération de la signature. Néanmoins, non seulement le chiffrement et la vérification sont efficaces, mais également le déchiffrement et la génération de signature. Ainsi, elles sont pratiques dans les environnements à fortes contraintes de ressources tels que les réseaux de capteurs, les cartes à puces, les téléphones mobiles, etc.. Les ECCs sont appelées à remplacer progressivement RSA [102]. Le Tableau 1.1 présente une comparaison en termes de taille de clés des cryptosystèmes ECC et RSA pour le même niveau de sécurité.

Cl´es RSA (bits) Cl´es ECC(bits)

1024 160

2048 224

3072 256

7680 384

5360 521

Table 1.1 – Comparaison entre ECC et RSA (param`etres de NIST)

Dans le document Algorithmes d'authentification et de cryptographie efficaces pour les réseaux de capteurs sans fil (Page 34-38)